Windows system >> Windowsの知識 >  >> コンピュータソフトウェアのチュートリアル >> サーバー技術 >> サーバーについて >> 複数のSSLサイトをホストするためにIPエイリアスを使用して

複数のSSLサイトをホストするためにIPエイリアスを使用して

  
                  

の人々が関心の高まりと一緒にSSLと名前ベースのバーチャルホストを使用します。一部の人々は、これは不可能であると思いますが、Apacheの中で、あなたは仮想ホストIPベースのバーチャルホストを実装することができます。この記事では、ジョン・遼とジム・マイルはどのようにあなたが表示されます。

は、以前のdeveloperWorksの記事「ドミノ®のためのリモート・データ・アクセスをセキュア;」で、我々は、ビジネス上の問題を解決するための予算を保存する方法で、Apache Webサーバーを使用する方法について説明しました。 (リソースのリンクを参照してください。)この記事では、我々はこのトピックを議論していき、複数のSecure Sockets Layer(SSL)Webサイトを提供するために、Apache Webサーバーを使用する方法、ネットワークへのサーバー上の物理ネットワークアダプタで接続されて説明。

なぜ我々は、単一のサーバー上の再定住の複数のSSLサイトが必要なのでしょうか?実際、企業は単一のサーバ上で複数のSSLサイトをホストする必要がありますか?私たちは、実際のシーンを通じて、これらの問題を説明します。ユーザーは、技術革新の精神は確かにこのアイデアのためのより革新的な用途があります持っています。

ケーススタディ:二つのアプリケーション、

私たちの以前のプロジェクトでは、人事(HR)部門は、Webベースの福祉アプリケーションとして外部のインターネットを提供したい
つのサーバーアクセス。ほとんどのユーザーは、企業の内部ネットワークからWebアプリケーションへのアクセスが、時折外部のインターネットによってアクセス。セキュリティニーズを満たすために、我々は、リバースプロキシサーバーを構築するためにはApache HTTPサーバを使用して、社内ネットワークサーバー上のアプリケーションに決めました。リバースプロキシサーバーはSSL接続を終了した後、再オープンWebアプリケーションHRアプリケーション・サーバーのSSL接続をホスティングに加えました。 Apache Webサーバーでのmod_securityモジュールを追加することにより、あなたは、リバースプロキシサーバアプリケーションゲートウェイを変更することができ、およびWebアプリケーションのためのより高いセキュリティを提供します。 HR部門は慎重に完全修飾ドメイン名(FQDN)を選択し、ドメイン名は、ユーザーフレンドリーな、覚えやすいです。その後、我々は、SSL証明書を取得するために、前進し続けるので、我々はすべて成功した結論と信じています。

年があっという間に過ぎ。別のエンタープライズWebアプリケーションはそのニーズやHRアプリケーションは非常に似て、登場しました。また、外部ユーザーへのアクセスを提供する能力が必要です。外部ユーザーの数が非常に少ないです。ほとんどの訪問は、企業ネットワーク内で行われています。私たちは、すぐに新しいWebアプリケーションへの外部アクセスを提供するために、リバースプロキシサーバーを使用するのではと思いました。

しかし、この新しいアプリケーション少し問題。まず第一に、我々は、アプリケーションの展開内のすべてのサーバーを統合する機会を探すためにしようと、物理的なデータセンターのスペースについて非常に懸念しています。第二に、我々は追加のリバースプロキシサーバはそれだけの価値がある購入するために示さなければなりません。この2つの要因の組み合わせは、新しいWebアプリケーションのニーズを満たすために、既存のリバースプロキシサーバーを使用する方法を調べるために私たちを促しました。唯一の問題は、このアプリケーションが別のFQDNを持つ既存のHRアプリケーションを必要とすることです。

私たちは、新しいWebアプリケーションの既存のリバースプロキシサーバーを使用するにはいくつかの方法を検討しました。最初のアイデアは、古いものと新しいドメイン名のアプリケーションは、rp.company.comとして、一般的なドメインに変更し、コンテキストパスを持つ2つのアプリケーション間で区別されていることです。ただし、元のリバースプロキシサーバーのユーザーが強く、ドメイン名を変更することに反対しました。あなたがドメイン名を変更する場合は、ドメイン名の変更、彼らは会社の所有者に通知しなければならないが、また、新しいURLを反映するために、すべての印刷物を修正します。ドメイン名変更のコストが非常に高く、顧客サポート部門に影響を与える可能性があり、彼らは必然的に、ユーザーからの苦情が多数を受け取ることになります。また、2つのアプリケーション・グループが彼らのFQDNを保持したい、彼らは自分たちだけでなく、選択したFQDNもっと目を引くこの一般化のURLより考慮するだけでなく、これらのWebアプリケーションを促進するための宣伝の効果的な手段。

もう一つのアイデア:なぜ、DNSエントリを登録していない、それは既存のサーバーに新しいドメイン名のポイントになりますか?アイデアはすぐに却下されました。 SSLアプリケーションでは、SSL証明書は、ユーザへのURL要求と一致している必要があり、それ以外の場合は、要求されたSSL証明書のドメイン名とURLが一致していないことを示す警告メッセージがポップアップ表示されます。ポップアップや悪意のあるソフトウェア横行しているため、同社では誰もがインタラクティブなWebポップアップ警告ボックスを生成するように訓練キャンセルさせていただきます。標準の企業構造の要件によると、非生産的なWebアプリケーションがポップアップ警告メッセージを生成します。

もう一つの提案は、以下のとおりです。第二のSSLサイトは最初の手術部位に別のサーバーポートに常駐します。しかし、我々は、サイトのURLとポート番号を覚えておくために、ユーザにとって困難ながら、これは、ユーザーがあまりにも多くの問題を与えると感じています。ユーザーはURLのみを入力し、ポート番号を入力しない場合は、HRアプリケーションにリダイレクトされます。これは多くの問題を引き起こします。

ソリューション:IPエイリアス

ソリューションを完成するためにIPエイリアス(IPエイリアス)です。この解決策を探しているときは、ほとんどのトリッキーな部分は正しい用語を決定することです。最初にこの概念を導入したとき、我々は仮想インターフェイス(仮想インターフェイス)と仮想IP(仮想IP)および他の用語を聞きました。主題のより多くの文献を見つけるために私たちを助けているが、我々は最終的に私たちは、多くの場合、IPエイリアス機能の概念と呼ばれる何かを探していることに気づいた。私たちは、これらの概念についての情報を見つけるのに苦労しました。エイリアスIPエイリアスは、時々、ネットワークインターフェース(ネットワーク・インタフェース・エイリアシング)または論理インターフェイス(論理インタフェース)と呼ばれます。

Linuxシステム上のIPエイリアス

プロミスキャスモード:警告が複数のIPアドレスを使用して構成
すると、いくつかのイーサネットカードは、いわゆるプロミスキャスモード(プロミスキャスモードに入ります)
。ハイブリッドモードでは、カードは、ローカルネットワーク上のすべてのトラフィックをキャプチャします。これは、前方の攻撃に対して脆弱ネットワーク上の他のホストにサーバーを引き起こす可能性があります。ほとんどのスニッファとネットワーク監視ソフトウェアは、すべてのネットワークトラフィックのパケットをキャプチャするために無差別モードにイーサネットカードを作ります。この背後にある

IPエイリアスのコンセプトは単純です:複数のIPアドレスは、ネットワークインターフェイス上に設定することができます。これは、単一のインターフェイスを使用して、同じサーバー上で複数のWebサーバーを実行することが可能となります。 IPエイリアスも非常に簡単です設定してください。ただ、システム上のネットワークインターフェイスを設定し、それは追加のIPアドレスを監視してみましょう。 Linux™のシステムでは、あなたはまた、グラフィカルなネットワーク管理ツールを使用することができ、IPエイリアスを追加する(たとえば、ifconfigとrouteコマンドなど)の標準的なネットワーク設定ツールを使用することができます。

は一般的に、各イーサネットカードの物理ユニット番号を設定します。イーサネット・カードに追加するために追加のIPエイリアスを設定し、コンフィギュレーションは、論理ユニット番号がそれを定義されたインタフェースと同じ物理ユニット番号とすることができるが、使用すべきです。 IPエイリアスが作成され、リスト1に示すように、たとえば、イーサネットカードの物理ユニット番号は、論理ユニット番号を追加することによって、既存のIPアドレスETH0設定されている場合。あなたは、論理ユニット番号をインクリメントすることにより、複数のIPアドレスを追加することができます。 (注は、rootとしてログインする必要があります。)



リスト1.追加のIPアドレスを追加し、既存のネットワークインタフェースのifconfig eth0の上
:1 192.168.0.2ネットマスク255.255。 255.0

あなたが設定されているシステム上で、Linuxカーネルは、この手法を使用するためには、IPエイリアスをサポートしている必要があります。カーネルは、このようなサポートを提供していない場合は、カーネルを再構築する必要があるかもしれません。あなたのカーネルがIPエイリアスをサポートして理解するには、*ファイルが存在するの/proc /ネット/別名を確認することができます。後

新しいIPアドレスがリスト2に示すように、インターフェイスの新しいルートを設定するように、構成されています。



リスト2. -host 192.168.0.2 devのeth0の新しいIPアドレスを追加
ルートルートの追加:1

は、新しいIPを作成しますアドレスの後、あなたはまた、リスト3に示す/etc /hostsファイルに新しい名前を解決する必要があります。 192.168.0.1 primaryserver192.168.0.2 secondaryserver
Solarisシステム上の新しいIPアドレスのIPエイリアスの



リスト3.名前

Solaris™の上でIPエイリアスを設定するには、わずかに異なる順序を使用しています。ネットワークインタフェースの設定はリスト4に示されています。あなたは、rootとしてログインする必要があります。 1 plumbifconfig eth0を://コンピュータのハードウェアとソフトウェアのネットワークwww.45it.comのアプリケーションからのこの記事では、Solaris上の仮想IP
のでifconfig eth0の追加



リストに
4を指定してください再現1 192.168.0.2ネットマスク255.255.255.0ifconfigはeth0:1



アップ仮想IPは、再起動後も有効である、あなたは、/etc /の/etc内のホスト/ホスト名のIPアドレスまたはホスト名を追加することができます作るために.eth0:1つのファイル。

LinuxおよびSolarisシステムでは、あなたは彼らが異なるサブネット上のIPアドレスに接続できるように、単一の物理イーサネットカード上に複数の仮想インタフェースを作成することができます。しかし、一般的に、それは2つのサブネット間のボトルネックになるので、そうするために避けるべきである、とすべてのネットワークデバイスの両方のサブネットのパフォーマンスが悪影響を受けることになります。

IPエイリアス
他の目的は、クライアントのIPエイリアスを負荷テストとストレスを実行するために使用することができます。詳細については、「テストとチューニングのロードバランサとネットワークは、」(参考文献のリンクを参照)の記事を参照してください。

2番目のIPアドレスに基づいて複数のSSLサイト

IPアドレスの設定を構成した後、リストに示されているように、あなたは、コンフィギュレーションファイルのSSLサイトのApache Webサーバーに追加のIPアドレスを追加することができます5図。

それはすべてです!私たちは、同じサーバは、物理的なネットワークカードの同じ部分が複数のSSL Webサイトを構築しています。



リスト5は、SSLCertificateFile、SSL /SITE1に
は443 DocumentRootのSSL Webサイト "/ウェブサイト1 /ドキュメントを" 聞くServerNameのウェブsite1.company.com:443 SSLEngineの2つを配置し.CRT SSLCertificateKeyFile SSL /site1.keyのDocumentRoot "/ウェブサイト2 /docsに" サーバー名のWeb SSLCertificateFileにsite2.company.com:443 SSLEngineのSSL /site2.crt SSLCertificateKeyFile SSL /site2.key

複数のSSLサイト他の用途

あなたは同様の低流量は、複数のサーバーのサービスを必要として終了するリバースプロキシサーバーを使用できるように私たちのApache Webサーバー上のトラフィックは、非常に低いと。

より大きく、より強力なサーバやネットワークカードが浮上している
、帯域幅の容量もこれまで以上に高くなっているので、あなたはまた、複数の仮想SSLのサイトをホストするために、このメソッドを使用することができます。顧客は小規模小売業の低トラフィックの多いサイトを提供しており、SSLセキュリティを必要とする場合は、あなたが設定したい限られた帯域幅ISPのSSLサイトを提供することができます。 IPエイリアスは、Webサービスなどの別のアドレスで他のサービスを提供するために、単一のIPアドレス上でSSL Webサイトを常駐使用することができます。他の可能性は、さらに、QAおよび/またはDRシステムのバックアップシステムを形成するために、一次生産システムとフェイルオーバシステムを提供含みます。今、あなたは、アプリケーションの設計では、IPエイリアスの背後にある基本的な概念を理解し、より広範な可能性を持っていること。

Copyright © Windowsの知識 All Rights Reserved